View Page

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Next revision		Previous revision
en:centro:servizos:cloud:configurar_red [2018/05/30 16:51] – created fernando.guillenen:centro:servizos:cloud:configurar_red [2018/05/31 14:28] (current) fernando.guillen
Line 1: Line 1:
-FIXME **Esta página no está completamente traducida, aún. Por favor, contribuye a su traducción.**\\ //(Elimina este párrafo una vez la traducción esté completa)//+[[en:centro:servizos:cloud|>>Main page]]
  
-[[centro:servizos:cloud|>>Página principal del Cloud]]+====== Networking in Cloudstack ====== 
 +===== Introduction ===== 
 +When a network is created inside Cloudstack two things are created: a [[http://en.wikipedia.org/wiki/VLAN| vlan]] is created to isolate this network from the other user's and a virtual router is also created to be the [[https://en.wikipedia.org/wiki/Gateway_(telecommunications)| gateway ]] to other networks, to be a [[https://en.wikipedia.org/wiki/Firewall_(computing)|firewall]] and to offer the  [[https://en.wikipedia.org/wiki/Network_address_translation|nat]] service.
  
-====== Las redes en Cloudstack ====== +The external IP address of the router (which is in the 172.16.244.0/255 range) is reachable from any other ip address belonging to the CiTIUS networkConnecting to this ip address the user can reach all the VM created inside that network using NATEach network created will have a different IP address.
-===== Introducción ===== +
-Crear una red dentro de Cloudstack provoca la creación de una [[http://es.wikipedia.org/wiki/VLAN| vlan]] que aisle la red de este usuario de los demás y la puesta en funcionamiento de un router virtual que realiza la función de [[http://es.wikipedia.org/wiki/Puerta_de_enlace| puerta de enlace ]]de esta red con el exterior y proporciona los servicios de [[http://es.wikipedia.org/wiki/Cortafuegos_%28inform%C3%A1tica%29|cortafuegos]] y [[http://es.wikipedia.org/wiki/NAT|nat]], todo ello de forma completamente transparente para el usuario.\\ +
-En el caso del CITIUS, el Cloudstack está configurado de forma que la dirección IP de la interfaz externa del router es accesible desde cualquier otra dirección perteneciente al CITIUS, y está en el rango 172.16.244.0/24. Está es la ip con la que el usuario podrá acceder a cualquiera de las máquinas que haya creado dentro de esta red mediante natSi se crean redes adicionales, cada una tendrá una ip diferente\\ +
-Todas las máquinas virtuales que se crean reciben su configuración de red de forma dinámica mediante [[http://es.wikipedia.org/wiki/Dhcp | DHCP]] sin la intervención del usuario.\\ +
-El router virtual está configurado por defecto para bloquear todas las comunicaciones entre la red externa y la del usuario. Si el usuario quiere abrir puertos en el cortafuegos y/o configurar el nat para que las máquinas puedan comunicarse con el exterior hay que hacerlo desde la interfaz web de la forma que se explica más adelante.+
  
-Un ejemplo de cómo son dos redes de dos usuarios distintos en Cloudstack: +All VM receive their network configuration dinamically using [[https://en.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol DHCP]]  without user intervention
-[{{ :centro:servizos:cloud:esquema_red.png?nolink Esquema de dos redes de usuario en CS}}] +
-Como se puede observar en el esquema, el usuario 1 ha creado una red a la que ha conectado dos máquinas virtuales, VM 1 y 2Estas dos máquinas se pueden comunicar entre sí porque están en la misma red pero aunque esta red usa el mismo rango que la del usuario 2 están en vlans diferentes por lo que en la práctica están completamente aisladas entre sí. pueden comunicarse con el exterior a través de la puerta de enlace que les ofrece el router virtual 1. Este router tiene dos interfaces, una en la red del usuario (10.10.0.1) y otra en la red del CITIUS (172.16.244.101). El usuario tendría que conectarse a la ip 172.16.244.101 para acceder a cualquier servicio de sus máquinas virtuales. Lo que distingue a qué servicio de qué máquina te conectas al acceder a esa ip es lo que se haya configurado en el nat del router. Por ejemplo, suponiendo que tanto VM1 como VM2 tengan servidores web accesibles en el puerto 80 y que el nat del router 1 tuviera las siguientes reglas:\\ +
-Puerto 180 -> puerto 80 de VM1\\ +
-Puerto 280 -> puerto 80 de VM2\\ +
-entonces para acceder a ambas webs habría que usar estas direcciones respectivamente:\\ +
-172.16.244.101:180 y 172.16.244.101:280+
  
 +By default the virtual router is configured to block all communication between the external network and the user network. To open ports in the firewall and/or configure nat to allow VMs to reach the exterior networks you'll have to use the web interface as explained further ahead. 
  
 +An example of two different user networks:
 +[{{ :centro:servizos:cloud:esquema_red.png?nolink | Two different user networks in Cloudstack}}]
  
 +As you can see in the image user1 has created a network with two virtual machines, VM 1 and 2. This two VM can communicate between them because they are in the same network. Even though user 1 and user 2 networks have the same address range in their respective networks they belong to different vlans so are completely isolated between them. They can reach the external networks using the gateway of virtual router 1. This router has two network interfaces, one connected to the user network (10.0.0.1) and other to the CiTIUS network (172.16.244.101). User must connect to 172.16.244.101 to access any service offered by his virtual machines. 
  
 +What determines to which service of which VM you connect to when accessing that IP address is whatever is configured in the NAT service of the virtual router. For example, supposing both VM1 and VM2 have web servers accessible at port 80 and that the router has the following nat rules configured:\\
 +Port 180 -> port 80 of VM1\\
 +Port 280 -> puerto 80 of VM2\\
 +then to access the first web page you should use 172.16.244.101:180 and to access the second 172.16.244.101:280.
  
  
-===== Configuración ===== +===== Configuration ===== 
-La configuración de las redes en Cloudstack se realiza seleccionando "Network" en la columna izquierda:+Configuration of networks in Cloudstack is done choosing "Network" in the left column:
 [{{  :centro:servizos:cloud:networks.png?nolink  |Network}}] [{{  :centro:servizos:cloud:networks.png?nolink  |Network}}]
  
-Aquí aparecerá una lista de las redes ya creadasen el caso de la imagen anterior solo hay una de nombre "default".\\+ 
 +Here you'll see a list of the already created networksin the previous example there is only one named "default".\\
 <note info> <note info>
-Aunque un usuario tenga más de una red, estas se encuentran aisladas entre sí como si fueran de dos usuarios distintos.+All networks are isolated among them even if they belong to the same user.
 </note> </note>
-===== Crear nuevas redes ===== +===== Create new networks =====
-Hay dos maneras de crear nuevas redes, una es automática durante la creación de una VM (la recomendada) y otra es manual seleccionando el botón "Add guest network" en la parte superior derecha.\\ +
-Esto abrirá una nueva ventana para introducir los datos necesarios: +
-[{{  :centro:servizos:cloud:add_guest_network.png?nolink  |Crear una nueva red}}]+
  
-  * Name: el nombre de la red, Cloudstack no lo usasolo es para la organización del usuario+There are two ways of creating new networks, one automatic during the creation of a VM (recommended) and other manual by pressing button "Add guest network" located in the upper right part of the screen.\\ 
-  * Display text: Una descripciónde nuevo solo de cara al usuario+This will open a new window with a form to fill in the necessary data: 
-  * Zone: solo hay unadejar como está+[{{  :centro:servizos:cloud:add_guest_network.png?nolink  |Create new network}}] 
-  * Network offering: solo hay un tipo de reddejar como está+ 
-  * Guest gateway (opcional): por defecto es la 10.10.0.1 pero puede configurarse otraEs la ip que tendrá el router virtual en su interfaz interna+  * Name: name of the network, Cloudstack does not use itso choose something meaningful to you
-  * Guest netmask (opcional): máscara de red que se usará en la red+  * Display text: Descriptionagain only useful for the user
-  * Network domain (opcional): puede definirse un nombre de dominio para esta red.+  * Zone: there is only one zoneleave it
 +  * Network offering: there is only one optionleave it
 +  * Guest gateway (optional): 10.10.0.1 by default, can be changedIt's the ip address of the internal network interface in the virtual router
 +  * Guest netmask (optional): network netmask
 +  * Network domain (optional): a domain name can be defined for the network.
            
-===== Configurar una red ===== +===== Configure network ===== 
-Seleccionamos una red y aparecerá la siguiente pantalla:+Choose a network and the following screen will appear:
  
-[{{  :centro:servizos:cloud:networks2.png?nolink  |Red "default"}}]+[{{  :centro:servizos:cloud:networks2.png?nolink  | "default" Network}}]
  
-Aquí podemos configurar el tráfico en los dos sentidosdesde la VM hacia el exterior y desde el exterior hacia la VM.+Here network two-way network traffic can be configuredfrom the VM to the outside and from the outside to the VM.
  
-==== Configurar el tráfico desde la VM hacia el exterior ==== + 
-Por defecto el cortafuegos de la red impide cualquier tipo de comunicación entre la VM y el exteriorPara cambiar eso hay que  acceder a la pestaña "Egress rules":+==== Configure access from the VM to the external network ==== 
 +By default the network firewall prevents any type of communication between the VM and the external networkTo modify this configuration go to the "Egress rules" tab:
 {{ :centro:servizos:cloud:networks-egress.png?nolink |Egress rules}} {{ :centro:servizos:cloud:networks-egress.png?nolink |Egress rules}}
  
-Ahi aparecerá una lista con las reglas existentes y una línea en blanco para añadir nuevasHay una negación implicita, lo que quiere decir que cualquier tráfico que no sea explicitamente permitido por una regla es denegadoLa regla más sencilla que se puede añadir que permita todo el tráfico desde la VM hacia el exterior es la siguiente:\\+There a list with the current rules and a blank line for new ones appearRules work with implicit rejection which means that any traffic not explicitly allowed by a rule will be rejectedThe simplest rule that can be added to allow all traffic from the VM to the exterior networks is:\\
 |  **Source CIDR**  |  0.0.0.0/ | |  **Source CIDR**  |  0.0.0.0/ |
 |  **Protocol**  |  All  | |  **Protocol**  |  All  |
  
-La CIDR 0.0.0.0/indica todos los orígenes y el protocolo All indica todos los puertos.+CIDR 0.0.0.0/means any source and Protocol All means any port. 
 + 
 +If less permissive rules are desired then put in the "Source CIDR" field the ip address of the host or network from which traffic is to be allowed and in the "Protocol","Start Port" and "Destination Port" fields the protocol and ports allowed. 
 + 
 +Once the rule is created the "Add" button is substituted by a cross to allow its removal. 
  
-Si se quieren poner reglas menos permisivas se pone en el campo "Source CIDR" la ip de la red o del host desde el que se quiere permitir el tráfico y en "Protocol","Start Port" y "Destination Port" el protocolo y los puertos que se permiten.+==== Configure traffic from the exterior to the VM  ==== 
 +When a network is created two services are started in the virtual router: firewall and source nat. To allow trafiic from the exterior to reach a VM both services have to be configured. Firewall by default rejects all incoming traffic so explicit rules for any port desired to be open are necessary. Then Source nat configuration is required to direct that traffic to the desired VM\\
  
-Una vez una regla está creada el botón de "Addse sustituye por una cruz para poder borrarla.+To get to the configuration screen choose the netkwork name in the list, push the "View ip addressesbutton and choose the networl ip address. 
 +[{{ :centro:servizos:cloud:breadcrumb.png?nolink |Path to the firewall and nat configuration.}}]
  
-==== Configurar el tráfico desde el exterior hacia la VM  ==== +Choose the "Configurationtab and you'll see the following screen: 
-Al crear una red se inician dos servicios: cortafuegos y source nat. El cortafuegos por defecto no permite ningún tráfico entrante en la red, por lo que habrá que configurar reglas explicitas para cada puerto que queramos abierto en la red. El source nat hay que configurarlo para que cuando haya tráfico entrante en la red, este sea redirigido a la máquina virtual que nosotros queramos. \\ +[{{ :centro:servizos:cloud:networks6.png?nolink |Firewall and nat configuration screen.}}]
-Para llegar hasta la pantalla de configuración hay que seleccionar el nombre de la red de entre la lista, pulsar el botón "View ip addressesy ahí seleccionar la dirección ip de la red.  +
-[{{ :centro:servizos:cloud:breadcrumb.png?nolink |Camino hasta la configuración del cortafuegos y el nat.}}]+
  
-Ahí hay que pinchar en la pestaña "Configuration", con lo que llegaremos a esta pantalla: +The "Firewalland the "Port Forwarding" buttons open their respective configuration screens.
-[{{ :centro:servizos:cloud:networks6.png?nolink |Pantalla de configuración de cortafuegos y nat.}}]+
  
-En el botón "Firewall" abrimos la pantalla de configuración del cortafuegos y en el botón "Port Forwarding" la de configuración del nat. +=== Configure the firewall === 
-=== Configurar el cortafuegos === +[{{ :centro:servizos:cloud:firewall.png?nolink | Firewall configuration}}] 
-[{{ :centro:servizos:cloud:firewall.png?nolink | Configuración del cortafuegos}}] +Here port ranges can be opened in order to be reachable form the external network
-Aqui podemos abrir rangos de puertos de modo que sean accesibles desde la red externa+  * Source CIDR: from which source ip address traffic in this rule will be allowedCan be a host, a network or 0.0.0.0/which means any
-  * Source CIDR: define para qué direcciones de origen estará permitido el tráfico de esta reglaSe puede poner una red, un host 0.0.0.0/para indicar cualquiera+  * Protocol: TCP, UDP or ICMP.  
-  * Protocol: TCP, UDP ICMP. +  * Start and End Ports (TCP and UDP only): define the port range to allow accessIf a single port is needed put the same number in both
-  * Start End Ports (solo para TCP UDP): definen el rango de puertos en el que se permitirá el pasoPara especificar un único puerto poner el mismo número en ambos+  * ICMP Type and ICMP Code (ICMP only): type of ICMP message allowed
-  * ICMP Type ICMP Code (solo para ICMP): definen el tipo de mensaje ICMP que se permitirá+  * Add rule: To add the rule to the listOnce added it is substituted by a button to remove it
-  * Add rule: botón que añade la regla a la listaUna vez añadida es sustituido por un botón para borrarla+=== Configure nat === 
-=== Configurar el nat === +[{{ :centro:servizos:cloud:portforwarding.png?nolink | Port redirection configuration (NAT).}}] 
-[{{ :centro:servizos:cloud:portforwarding.png?nolink | Configuración de la redirección de puertos (NAT).}}] +Here trafiic that reaches the external network interface of the router is redirected to a particular VM depending on the destination port number
-Aqui redirigimos el tráfico que llega a la interfaz externa del router hacia una máquina virtual concreta en función del puerto de destino+  * Private port: port in the VM to connect to
-  * Private port: puerto de la máquina virtual al que queremos que se conecte+  * Public port: port in the virtual router used to establish the connection
-  * Public port: puerto del router virtual que usaremos para conectarnos a la máquina virtual+  * Protocol: TCP or UDP port
-  * Protocol: especifica si el puerto es TCP UDP. +  * Add VM: choose the VM to which the connection will be redirected.
-  * Add VM: aquí se selecciona la máquina virtual a la que irá dirigida la conexión.+
 <note warning> <note warning>
-El puerto público de la redirección tiene que estar abierto en el cortafuegos.+Public port must also be open in the firewall.
 </note> </note>